Les 8 meilleurs plugins de sécurité WordPress pour verrouiller votre site
WordPress alimente plus de 35% de tous les sites Web sur Internet, ce qui en fait une cible juteuse pour les acteurs malveillants du monde entier.
Si vous souhaitez sécuriser votre site Web ou les sites Web de vos clients, un plugin de sécurité dédié peut faire beaucoup de travail pour vous.
Pour vous aider à choisir le meilleur plugin de sécurité WordPress pour vos besoins, nous avons rassemblé huit excellentes options qui peuvent vous aider à renforcer la sécurité, les pare-feu et l’analyse des logiciels malveillants.
Examinons-le, en commençant par un aperçu rapide de ce que font la plupart des plugins de sécurité WordPress.
Que font les plugins de sécurité WordPress ?
La sécurité WordPress est un sujet assez large, donc quand je dis «plugin de sécurité WordPress», cela peut englober une gamme de fonctionnalités différentes.
Donc, avant d’entrer dans les plugins, examinons quelles sont ces différentes fonctionnalités de haut niveau afin que vous sachiez ce que fait chacun de ces outils.
Renforcement de la sécurité de base
Le renforcement de la sécurité de base est une sorte de fourre-tout pour «les changements de configuration ou les outils qui rendent votre site WordPress plus sécurisé».
Par exemple, les plugins de sécurité vous aideront généralement à sécuriser votre page de connexion avec des fonctionnalités telles que:
- Limiter les tentatives de connexion
- Authentification à deux facteurs
- Changer l’URL de connexion WordPress
- Application de mots de passe forts
- Définition de l’expiration des mots de passe
- Ajout d’un CAPTCHA
Ce sont toutes des tactiques de durcissement.
D’autres stratégies de renforcement populaires incluent la surveillance des fichiers WordPress de base pour détecter si quelque chose a été modifié, la désactivation des fonctionnalités WordPress telles que XML-RPC, l’arrêt de l’énumération des utilisateurs, etc.
Pare-feu
Une autre tactique que vous verrez souvent mentionnée est un pare-feu.
Essentiellement, un pare-feu de site Web est quelque chose qui se situe entre votre site WordPress et ses visiteurs. Les visiteurs réguliers n’ont aucun problème à utiliser votre site, mais si le pare-feu détecte une activité malveillante (via l’adresse IP, les actions, etc.), il bloquera ce visiteur avant qu’il ne puisse causer un problème.
Avec WordPress, vous verrez cela appelé un pare-feu d’application Web ou WAF.
Il est important de noter que tous les pare-feu ne sont pas identiques. C’est-à-dire, juste parce que deux plugins offrent tous les deux un «pare-feu», cela ne signifie pas que ces outils sont automatiquement égaux, car un pare-feu est seulement aussi bon que les règles qu’il suit.
Certains plugins de sécurité WordPress, comme Wordfence, mettent constamment à jour leurs règles de pare-feu en temps réel pour s’adapter aux menaces de sécurité émergentes. D’autres sont essentiellement un ensemble statique de règles qui ne changent jamais. Les deux peuvent être utiles – c’est juste que l’un sera plus efficace pour vous protéger contre de nouveaux types de vulnérabilités.
Analyse des logiciels malveillants
Une autre partie populaire des plugins de sécurité WordPress est l’analyse des logiciels malveillants. Vous connaissez probablement ce concept en exécutant des analyses sur votre propre ordinateur.
Fondamentalement, l’outil analysera votre site pour détecter les codes malveillants et retournera un rapport de tout ce qu’il trouvera.
Encore une fois, l’efficacité de l’analyse des logiciels malveillants dépend de ses règles et de son approche. Autrement dit, juste parce que deux plugins effectuent tous deux une «analyse de logiciels malveillants», ce qui ne les rend pas égaux.
Tout d’abord, tout comme avec les pare-feu, vous avez des différences dans les règles de détection. Un analyseur de logiciels malveillants s’appuie sur des «signatures de logiciels malveillants» pour identifier les logiciels malveillants. Donc, si votre scanner de malware n’a pas de signature pour une menace émergente, il pourrait ne pas être en mesure de le détecter.
Deuxièmement, vous avez l’approche. Certains plugins / outils, comme le populaire outil Sucuri SiteCheck , analysent uniquement le front-end de votre site. Cela peut détecter les logiciels malveillants détectables depuis le front-end de votre site Web, mais il ne détectera pas les logiciels malveillants cachés sur votre serveur.
Pour détecter les logiciels malveillants qui ne se manifestent pas sur le front-end de votre site, vous devez utiliser un scanner de logiciels malveillants qui analyse tous les fichiers sur votre serveur.
Avec cette introduction à l’écart, laissez-nous vous aider à choisir le meilleur plugin de sécurité WordPress pour vos besoins.
8 meilleurs plugins de sécurité WordPress
Voici les huit plugins que nous allons examiner:
- Sucuri
- iThemes Security
- Tout-en-un WP Security & Firewall
- Sécurité pare-balles
- Jetpack
- SecuPress
- Cerber Security
- Wordfence
1. Sucuri
Sucuri est un autre outil de sécurité de site Web populaire. Sucuri comprend deux parties:
- Un plugin gratuit sur WordPress.org
- Un pare-feu payant, un service de surveillance et de nettoyage de piratage
Le plugin gratuit de WordPress.org vous aide principalement à renforcer la sécurité de base.
Il vous donnera diverses règles et astuces que vous pouvez appliquer, telles que la désactivation du plug-in dans le tableau de bord et de l’édition de thème et le blocage de l’exécution de PHP dans certains répertoires sensibles.
Les autres fonctions de sécurité incluent la possibilité de:
- Surveiller l’intégrité des fichiers pour les fichiers principaux
- Suivre les tentatives de connexion échouées
- Recevoir des notifications d’alerte de sécurité pour diverses actions
- Répertoriez les scripts et les iframes sur votre site.
Au-delà de cela, le plugin est également livré avec le service Sucuri SiteCheck pour l’analyse des logiciels malveillants. Cependant, il est important de comprendre que ce service scanne simplement le front-end de votre site pour détecter les problèmes – il n’analysera pas les fichiers sur votre serveur comme certains autres scans de logiciels malveillants. Vous n’avez pas non plus besoin du plugin pour utiliser cet outil – vous pouvez l’exécuter à partir du site Web de Sucuri.
Pour plus de sécurité, le plugin peut vous aider à vous connecter au service de pare-feu payant Sucuri. Ce pare-feu est un WAF basé sur le cloud avec des règles régulièrement mises à jour par l’équipe Sucuri. Le pare-feu vous permet également:
- Liste blanche ou liste noire de certaines adresses IP
- Bloquer des pays entiers
- Sécurisez les zones sensibles (comme votre tableau de bord / connexion WordPress) avec des CAPTCHA, une authentification à deux facteurs ou des mots de passe supplémentaires.
Le service payant Sucuri peut également aider à protéger votre site contre les attaques DDoS.
Prix: Le plugin Sucuri est 100% gratuit. Le pare-feu Sucuri coûte 19,98 $ par mois et l’ensemble de la plate-forme Sucuri (qui comprend la détection et le nettoyage des logiciels malveillants) coûte 299,99 $ par an.
2. iThemes Security
iThemes Security est un plugin de sécurité freemium de… iThemes – d’où son nom. Si vous n’êtes pas familier, iThemes est un développeur populaire derrière une gamme de plugins, y compris BackupBuddy. iThemes a été acquis par Liquid Web en 2018.
iThemes Security se concentre sur le renforcement de la sécurité WordPress. Il vous permet de vous connecter au service Sucuri SiteCheck pour la détection frontale des logiciels malveillants – mais vous pouvez simplement exécuter cette fonctionnalité à partir du site Web de Sucuri, donc ce n’est pas vraiment une analyse intégrée des logiciels malveillants.
Il n’annonce pas de pare-feu, mais il inclut des fonctionnalités qui vous permettent de bloquer certains bots et adresses IP. Il existe également une fonctionnalité de «protection contre la force brute du réseau» qui peut bloquer automatiquement les adresses IP qui ont essayé de forcer brutalement d’autres sites WordPress.
Quant au renforcement de la sécurité, iThemes Security peut vous aider à sécuriser votre processus de connexion avec des fonctionnalités telles que:
- Limitez les tentatives de connexion
- Changer l’URL de connexion WordPress
- Google reCAPTCHA (payant)
- Authentification à deux facteurs (payante)
- Forte application des mots de passe
- Expiration du mot de passe (payé)
Il propose également un mode «Absent» qui vous permet de verrouiller votre site pendant les périodes où vous n’y accédez pas.
Les autres fonctionnalités de renforcement de la sécurité incluent:
- Détection de changement de fichier
- Changer le préfixe de la base de données
- Désactiver la modification des fichiers dans le tableau de bord
- Journalisation des actions de l’utilisateur ( payante )
- Changer le chemin du contenu wp
Si vous devez gérer plusieurs sites WordPress, il a également une intégration avec iThemes Sync.
Prix: version gratuite sur WordPress.org. La version payante commence à 80 $.
3. Tout-en-un WP Security & Firewall
All In One WP Security & Firewall est un plugin de sécurité WordPress populaire 100% gratuit.
Il vous aide à implémenter une tonne de différentes fonctionnalités de renforcement de la sécurité telles que:
- Changer le préfixe de la base de données WordPress
- Surveiller les autorisations des fichiers
- Désactiver la modification des fichiers dans le tableau de bord
- Surveillance de l’intégrité des fichiers
- Masquer le numéro de version de WordPress
Il comprend également des fonctionnalités pour sécuriser votre processus de connexion telles que:
- Limitez les tentatives de connexion
- Forcer la déconnexion des utilisateurs après un certain temps
- Ajouter reCAPTCHA pour la protection de connexion
- Mettre en liste blanche certaines adresses IP
- Arrêter l’énumération des utilisateurs
Il vous fournira également un «indicateur de sécurité» pour vous aider à améliorer la sécurité de votre site.
All In One WP Security & Firewall comprend ce qu’il appelle un pare-feu, mais il n’est pas aussi robuste que quelque chose comme Wordfence ou Sucuri. Il s’agit plus d’un ensemble statique de règles – il ne s’adapte pas aux menaces émergentes comme ces autres plugins.
Prix: 100% gratuit sur WordPress.org.
4. Sécurité pare-balles
BulletProof Security est une autre option qui offre une approche tout-en-un de la sécurité WordPress avec:
- Durcissement
- Pare-feu
- Analyse des logiciels malveillants
La version gratuite offre un durcissement de base tel que:
- Sécurité de connexion
- Changer le préfixe de la table de base de données
- Journalisation de la sécurité
- Sauvegarde de la base de données
Il inclut également une analyse des logiciels malveillants dans la version gratuite, tandis que la version payante comprend une protection en temps réel avec le système de détection et de prévention des intrusions AutoRestore | Quarantine de BulletProof Security (ARQ IDPS).
La version payante ajoute également d’autres fonctionnalités telles que:
- Surveillance de base de données et vérification différentielle
- Protection des téléchargements
- Pare-feu de plugin
L’interface utilisateur semble assez datée et n’est pas aussi agréable que d’autres outils, mais BulletProof Security est bien considéré en ce qui concerne son efficacité.
Prix: version gratuite sur WordPress.org. La version payante commence à 69,95 $.
5. Jetpack
Jetpack est un plugin tout-en-un populaire d’Automattic, les mêmes personnes derrière WordPress.com et WooCommerce.
Contrairement à tous les autres plugins de cette liste, Jetpack ne se concentre pas uniquement sur la sécurité WordPress, mais il inclut de nombreuses fonctionnalités de sécurité dans ses plans gratuits et payants.
La version gratuite permet de sécuriser votre connexion WordPress avec une protection par force brute et la possibilité d’utiliser une connexion sécurisée WordPress.com. Autrement dit, vous pouvez vous connecter à votre propre site WordPress en utilisant vos informations d’identification WordPress.com.
Avec les plans payants, vous avez également accès à des sauvegardes et à des analyses de logiciels malveillants (ces fonctionnalités s’appelaient auparavant VaultPress. Maintenant, VaultPress a fusionné avec Jetpack).
Les fonctions de sauvegarde et d’analyse sont liées entre elles, ce qui fait qu’elles sont uniques. Avec la plupart des outils d’analyse de logiciels malveillants, l’outil analyse les fichiers sur votre serveur WordPress réel. C’est bon pour attraper les logiciels malveillants, mais cela consomme également des ressources sur le serveur de votre site Web en direct.
Avec Jetpack, Jetpack sauvegarde d’abord votre site dans un emplacement hors site. Ensuite, il analyse la copie de sauvegarde de votre site à la recherche de logiciels malveillants, ce qui signifie qu’il n’affectera pas les performances de votre site Web en direct.
Dans le cadre de ses analyses, Jetpack recherche:
- Modifications apportées aux principaux fichiers WordPress
- Coquilles Web
- Vulnérabilités de TimThumb
Si Jetpack trouve quelque chose de malveillant, cela peut vous aider à réparer le problème.
Prix: Certaines fonctionnalités sont disponibles dans la version gratuite. L’analyse des logiciels malveillants est disponible sur le plan Premium et au-dessus, qui commence à 9 $ par mois. Cela vous donne également accès à de nombreuses autres fonctionnalités Jetpack.
6. SecuPress
SecuPress est un autre plugin de sécurité WordPress bien connu, disponible en version gratuite et payante.
SecuPress a été initialement lancé par WP Media, la même société derrière le populaire plugin WP Rocket. Cependant, WP Media a ultérieurement cédé la propriété au propriétaire actuel (qui était l’un des cofondateurs de WP Media). Fondamentalement, c’est une longue façon de dire que vous verrez des similitudes de conception avec WP Rocket, mais les deux ne sont plus la même entité.
Avec la version gratuite, vous pouvez:
- Bloquer les adresses IP et les mauvais bots
- Protégez votre connexion contre les attaques par force brute
- Masquer la page de connexion
- Cachez vos versions WordPress et WooCommerce
- Gérer XML-RPC et API REST
- Consigner les actions importantes des utilisateurs
Vous obtenez également un pare-feu dans la version gratuite.
La version premium ajoute des fonctionnalités supplémentaires telles que:
- Authentification à deux facteurs pour sécuriser votre connexion
- Fonctionnalités antispam
- Sauvegarde de la base de données et des fichiers
- Détection de thèmes ou plugins avec des failles de sécurité connues
- Analyse des logiciels malveillants PHP
- Blocage de pays (géolocalisation)
- Planification des tâches
L’interface est une fonctionnalité remarquable de SecuPress. Il possède l’interface la plus agréable de tous les outils de cette liste, ce qui est particulièrement agréable si vos clients le verront jamais. Encore une fois, vous pouvez certainement voir l’influence de WP Rocket dans l’interface.
Prix: version gratuite sur WordPress.org. La version payante commence à 65 $.
7. Cerber Security
Cerber Security est un autre plugin de sécurité WordPress tout-en-un populaire qui comprend:
- Renforcement de la sécurité
- Pare-feu
- Analyse des logiciels malveillants
Tout d’abord, il est rempli de règles de renforcement de la sécurité telles que:
- Changer la page de connexion de WordPress
- Désactiver PHP dans le dossier uploads
- Arrêt de l’énumération des utilisateurs
- Limiter les tentatives de connexion
- Surveillance de l’intégrité des fichiers
- Authentification à deux facteurs
Vous pouvez également configurer des règles, comme bloquer automatiquement toute adresse IP qui tente de se connecter avec un nom d’utilisateur inexistant. Vous pouvez également créer des stratégies personnalisées basées sur les rôles, comme exiger deux facteurs pour les utilisateurs administrateurs et les déconnecter automatiquement après un certain temps.
Dans le cadre du pare-feu, vous obtenez un inspecteur de trafic en temps réel où vous pouvez voir tout ce qui se passe sur votre site, y compris la surveillance des sessions connectées et des visiteurs. Vous obtenez également des règles de blocage géographique.
Enfin, vous obtenez des analyses de logiciels malveillants, y compris la possibilité de planifier des analyses pour qu’elles s’exécutent automatiquement.
Si vous devez gérer plusieurs sites, il comprend également une fonctionnalité Cerber.Hub qui vous permet de gérer plusieurs sites à partir d’un tableau de bord. Ce tableau de bord est auto-hébergé, contrairement à Wordfence. Vous désignerez un site WordPress comme «maître», puis «esclave» pour les autres installations de ce tableau de bord principal.
Prix: version gratuite sur WordPress.org. La version payante commence à 99 $.
8. Wordfence
Actif sur plus de trois millions de sites Web, Wordfence est un plugin de sécurité WordPress populaire. L’équipe Wordfence est également très active dans l’espace WordPress et surveille en permanence les nouvelles menaces, qu’elle détaille sur son blog. Wordfence vise à être une solution complète et propose des outils pour toutes les catégories dont j’ai discuté ci-dessus.
Renforcement de la sécurité générale
Tout d’abord, WordPress comprend des tonnes d’outils pour vous aider à renforcer la sécurité de base de WordPress, tels que:
- Désactiver l’exécution de code dans le répertoire de téléchargement
- Masquer votre version WordPress
- Arrêt de l’énumération des utilisateurs
Vous obtenez également un onglet de sécurité de connexion dédié à partir duquel vous pouvez contrôler les mesures de sécurité de connexion telles que:
- Utilisation de l’authentification à deux facteurs (pour tous les utilisateurs ou seulement certains rôles d’utilisateur)
- Désactivation de l’authentification XML-RPC
- Ajout de reCAPTCHA sur la page de connexion
- Limiter les tentatives de connexion infructueuses (cela fait partie du pare-feu)
- Application de mots de passe forts
Firewall d’applications Web
Wordfence comprend également son propre WAF . L’équipe Wordfence ajoute continuellement de nouvelles règles en temps réel pour s’adapter aux menaces émergentes. Vous pouvez également configurer le fonctionnement du pare-feu, comme la mise en liste blanche de certaines adresses IP et de certains services.
Vous pouvez également bloquer immédiatement les adresses IP qui tentent d’accéder à certaines URL sensibles. Et avec la version premium, vous pouvez bloquer des pays entiers avec le ciblage géographique.
Analyses de sécurité
Enfin, vous obtenez également des analyses détaillées des logiciels malveillants. Ces analyses peuvent analyser tous les fichiers sur votre serveur, ainsi que la vérification d’autres problèmes de sécurité tels que:
- Liens malveillants dans les commentaires
- Utilisateurs admin nouvellement créés
- Thèmes ou plugins obsolètes
- Mots de passe faibles
C’est donc une sorte de «scan général des failles de sécurité de WordPress» qui inclut également le scan des logiciels malveillants.
Vous obtenez également des règles pour configurer la fréquence et la profondeur de l’analyse, ce qui peut vous aider à contrôler les ressources du serveur consommées par vos analyses.
Si vous gérez de nombreux sites WordPress ( comme les sites clients ), Wordfence comprend également un outil Wordfence Central qui vous permet de gérer la sécurité de tous vos sites à partir d’un emplacement central. Vous pouvez également créer des modèles de paramètres Wordfence que vous pouvez rapidement appliquer à de nouveaux sites et recevoir des alertes en cas de problème sur l’un de vos sites.
Le plugin Wordfence de base et la plupart des fonctionnalités sont gratuits. Cependant, il existe une différence notable en ce qui concerne les règles que Wordfence utilise pour ses analyses de pare-feu et de logiciels malveillants.
Avec la version premium, vous obtenez des mises à jour en temps réel de ces règles. Donc, dès que Wordfence détecte une menace ( ce qui est assez proactif ), Wordfence ajoute immédiatement ces règles à votre site.
Cependant, avec la version gratuite, ces mises à jour des règles sont retardées de 30 jours.
Prix: Wordfence est disponible gratuitement sur WordPress.org. La version payante commence à 99 $ pour une utilisation sur un seul site, avec des réductions de volume pour un plus grand nombre de sites.
Un plugin de sécurité WordPress est-il tout ce dont vous avez besoin ?
Bien que tous ces plugins de sécurité aident certainement à sécuriser votre site Web, la sécurité de WordPress n’est pas aussi simple que d’installer un plugin et de l’appeler un jour.
Cela ne signifie pas que les plugins de sécurité ne sont pas utiles – cela signifie simplement que si vous ne faites pas les petites choses correctement, même un plugin de sécurité ne pourra pas vous sauver.
L’une des choses les plus importantes que vous puissiez faire est de mettre à jour rapidement le logiciel de base WordPress , vos plugins et votre thème – en particulier pour les versions de sécurité mineures (par exemple WordPress 5.4.X ).
Selon le rapport du site Web piraté de Sucuri 2019 , environ la moitié de tous les sites WordPress exécutaient une version obsolète du logiciel principal lorsque leur site était infecté. De plus, 44% des sites Web piratés exécutaient un plug-in obsolète.
Pour faire court, les actions suivantes sont tout aussi importantes, sinon plus, que l’utilisation d’un plugin de sécurité WordPress:
- Mettre à jour rapidement votre site et ses extensions pour les mises à jour de sécurité.
- Faites attention aux extensions que vous choisissez (et n’installez jamais de plugins annulés à partir de sources douteuses).
- Utiliser des mots de passe forts, en particulier sur les comptes d’administrateur.
Abonnez-vous à notre newsletter.
Abonnez-vous à notre newsletter pour recevoir les dernières tendances dans votre boîte mail.
En vous inscrivant pour recevoir des e-mails de WUDDUP, vous acceptez notre Politique de confidentialité. Désabonnez-vous à tout moment.